< p class="meta"> Di Chris Duckett | 28 giugno 2021 — 05:14 GMT (06:14 BST) | Argomento: sicurezza
Immagine: Getty Images/iStockphoto
Il gruppo sostenuto dalla Russia, Nobelium, che ha acquisito notorietà per l'hack della catena di approvvigionamento SolarWinds – un attacco che ha visto una backdoor piantata in migliaia di organizzazioni prima di selezionare nove agenzie federali statunitensi e circa 100 aziende statunitensi per compromettere e rubare informazioni da – ha ora colpito Microsoft stessa.
In un aggiornamento di venerdì, Microsoft ha affermato di aver trovato “malware che ruba informazioni” sulla macchina di uno dei suoi agenti di supporto che aveva accesso a “informazioni di base sull'account per un piccolo numero di nostri clienti”.
“L'attore ha utilizzato queste informazioni in alcuni casi per lanciare attacchi altamente mirati come parte della sua campagna più ampia. Abbiamo risposto rapidamente, rimosso l'accesso e protetto il dispositivo”, ha affermato la società.
“L'indagine è in corso, ma possiamo confermare che i nostri agenti di supporto sono configurati con il set minimo di autorizzazioni richieste come parte del nostro approccio di “accesso con privilegi minimi” Zero Trust alle informazioni sui clienti. Stiamo informando tutti i clienti interessati e li stiamo supportando per assicurarsi che i loro conti rimangano al sicuro.”
Microsoft consiglia di utilizzare l'autenticazione a più fattori e le architetture Zero Trust per proteggere gli ambienti.
Redmond ha recentemente avvertito che Nobelium stava conducendo una campagna di phishing impersonando USAID dopo essere riuscita a prendere il controllo di un account USAID sulla piattaforma di email marketing Constant Contact.
La campagna di phishing ha preso di mira circa 3.000 account collegati ad agenzie governative, think tank, consulenti e organizzazioni non governative, ha affermato Microsoft.
Nel suo aggiornamento di venerdì, Microsoft ha affermato di aver continuato a vedere “spruzzi di password e attacchi di forza bruta”.
“Questa attività recente è stata per lo più senza successo e la maggior parte degli obiettivi non è stata compromessa con successo: siamo a conoscenza di tre entità compromesse fino ad oggi”, ha affermato.
“Tutti i clienti che sono stati compromessi o presi di mira vengono contattati tramite il nostro processo di notifica dello stato nazionale.”
Il malware si è fatto strada attraverso il normale processo di firma dei driver Microsoft
In un secondo post di venerdì, Microsoft ha ammesso che un driver dannoso è riuscito a essere firmato dal gigante del software.
“L'attività dell'attore è limitata al settore dei giochi in particolare in Cina e non sembra mirare agli ambienti aziendali. Al momento non stiamo attribuendo ciò a un attore di uno stato nazionale”, ha affermato la società.
“L'obiettivo dell'attore è utilizzare il driver per falsificare la loro geolocalizzazione per imbrogliare il sistema e giocare da qualsiasi luogo. Il malware consente loro di ottenere un vantaggio nei giochi e possibilmente sfruttare altri giocatori compromettendo i loro account tramite strumenti comuni come i keylogger”.
A seguito dell'incidente, Microsoft ha affermato che avrebbe “raffinato” le sue politiche, la convalida e i processi di firma.
Microsoft ha aggiunto che i driver sarebbero stati bloccati tramite le sue applicazioni Defender.
Mentre Microsoft chiamava il malware un driver, Karsten Hahn di G Data, che ha scoperto il malware Netfilter, lo ha etichettato come rootkit.
“Al momento in cui scriviamo non è ancora noto come il conducente possa superare il processo di firma”, ha scritto.
Hahn ha affermato che la ricerca su Virustotal ha prodotto firme di campioni risalenti a marzo.
Netfilter ha un meccanismo di aggiornamento dopo aver raggiunto un particolare indirizzo IP, installa un certificato radice e aggiorna le impostazioni del proxy, ha affermato Hahn.
Microsoft ha affermato che affinché l'attacco funzioni, gli aggressori devono disporre dei privilegi di amministratore per consentire al programma di installazione di aggiornare le chiavi di registro e installare il driver o convincere l'utente a farlo da soli.
Copertura correlata
Microsoft avverte dell'attuale campagna di phishing Nobelium che impersona USAIDJustice Department sequestra i domini utilizzati nella campagna di phishing Nobelium-USAIDInnovation Oz Style: prendi un kernel sicuro leader a livello mondiale e buttalo al limite attacco? Strumenti rilasciati negli Stati Uniti per il rilevamento post-compromissioneMimecast rivela il furto del codice sorgente in SolarWinds hackMicrosoft: abbiamo trovato altri tre malware utilizzati dagli aggressori di SolarWinds
Argomenti correlati:
Microsoft Security TV Data Management CXO Data Center